PR23

クラウドでここまでデキる -2018 秋-~ (ほぼ) まるごとWindows Autopilot

東條敏夫

日本マイクロソフト株式会社

クラウド&ソリューション事業本部 モダンワークプレイス統括本部

モダンデスクトップ技術営業部

テクノロジーソリューションプロフェッショナル

Windows Autopilot の基本をおさえる

Windows Autopilot の新機能を知る

Windows Autopilot を導入したくなる

Windows♥Cloud

従来型

設定 アプリ

ドライバー

ポリシー

¥

モダン

ユーザー自身

Demo:“ユーザー ドリブン” な展開

Windows Autopilotベーシック

3 つのステップ

デバイス登録

プロファイル割り当て

ユーザーに発送

IntuneWindows

Autopilot

従業員が開梱し

セルフ展開IT 管理者

Autopilot

プロファイル

割り当て

プロファイル同期

デバイス同期

ハードウェア

ベンダー

ハードウェア ID

直接発送

セルフサービスで

デバイス展開

Windows 10 のシステム要件 Azure Active Directory

https://docs.microsoft.com/ja-jp/windows/deployment/windows-autopilot/windows-autopilot-requirements-licensing

デバイス登録

プロファイル割り当て

ユーザーに発送

デバイス登録

プロファイル割り当て

ユーザーに発送

お客様自身による登録は基本的に不要

OEM、流通会社、リセラーによるプロセスの簡略化

デバイスの出荷時に、顧客の Azure テナントに新規デバイスを自動登録

デバイス グループの作成が簡単にできるように、

顧客の注文にデバイスを関連づけ

顧客が指定したラベルによってデバイスをタグ付け

構成準備が整っているイメージをプリインストールして提供※

※ OEM が対象。詳細は各ベンダーにお問い合わせください。

https://aka.ms/WindowsAutopilot

デバイス登録

プロファイル割り当て

ユーザーに発送

デバイス構成に関する重要な詳細項目の設定

プロパティ

配置モード、Azure AD への参加の種類、

すべての対象デバイスを Autopilot に変換

Out-of-box experience (OOBE)

ソフトウェア ライセンス条項 (EULA)、プライバシー設定、

ユーザー アカウントの種類、アカウントの変更オプションを非表示にする、等

Azure AD グループを利用して割り当てを自動化

Azure AD グループにプロファイルを割り当て

Autopilot プロファイルに 1 つまたは複数の Azure AD を割り当て

割り当てられたグループの全てのデバイスにプロファイルが割り当てられる

動的メンバーシップ ルールによるグループ作成

全ての Autopilot デバイス、注文 ID や発注 ID によるグループ、等https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-

dynamic-membership

デバイス登録

プロファイル割り当て

ユーザーに発送

デバイスを箱から取り出し、電源を入れる

ユーザーによるセルフ サービスの Windows 展開

キーボードと言語の設定以外は、ユーザー名とパスワードを入力するだけ

普段通りの操作で業務利用デバイスの展開が完了✓ Win32 アプリ、業務アプリ、Office 365 ProPlus 等のインストール

✓ MDM によるポリシー設定、Windows Defender によるセキュリティ設定

✓ スタートやタスク バーのカスタマイズ、Windows エディション アップグレード

✓ その他のさまざまな設定

ポリシー、アプリ、設定の展開状態をユーザーに通知

システム要件

Video:ユーザー エクスペリエンス

Windows Autopilotシナリオ #01

構成を変換

構成を変換

Windows Autopilot で構成を完了させたい

これまで 新機能

システム要件 パッケージ作成

Demo:Win32 アプリ展開

ADMXInstall を利用し、GPO ベースの設定を追加

ADMXInstall (Policy CSP)

GPO ベースの設定を MDM より追加設定

ポリシー テンプレートの場所

ADMXInstall の OMA-URIOneDriveNGSC

<?xml version="1.0" encoding="utf-8"?>

: : :

<policyNamespaces>

<target prefix="OneDriveNGSC"

namespace="Microsoft.Policies.OneDriveNGSC" />

ポリシー設定値の OMA-URIOneDriveNGSC OneDriveN

GSC FilesOnDemandEnabled

<target prefix="OneDriveNGSC"

namespace="Microsoft.Policies.OneDriveNGSC" />

: : :

<category name="OneDriveNGSC"

displayName="$(string.OneDriveNGSCSettingCategory)"/>

: : :

<policy name="FilesOnDemandEnabled" class="Machine"

displayName="$(string.FilesOnDemandEnabled)“ ...

ポリシー設定値の記述形式

enabled KFMOptInNoWizard_Dropdown 0

<enabledValue>

<decimal value="1" />

</enabledValue>

<enum id="KFMOptInNoWizard_Dropdown"

valueName="KFMSilentOptInWithNotification">

<item displayName="$(string.KFMOptInNoWizardNoToast)">

<value><decimal value=“0" /></value>

コンピューター名のテンプレートをプロファイルに記述

システム要件

マクロによる一意な名前づけ

あらかじめデバイスにユーザーを割り当てておく

ポータル上での割り当て

Graph API を利用した割り当て

Demo:デバイス利用者の一括割り当て

# デバイスのシリアル番号とユーザーの対応を記載した CSV ファイルを読み込む

# CSV ファイルの形式: DeviceSerialNumber, PrincipalName, DisplayName

$userList = Import-Csv -Encoding UTF8 -Path $CsvPath

# Windows Autopilot デバイスのリストを取得

$graphApiVersion = "beta"

$Resource = "deviceManagement/windowsAutopilotDeviceIdentities"

$uri = "https://graph.microsoft.com/$graphApiVersion/$Resource"

# (例外処理や継続読み込みは省略します)

$response = Invoke-RestMethod -Uri $uri -Headers $authToken `

-Method Get

$devices = $response.value

$userList | ForEach-Object {

$assignedUser = $_

# ユーザーに割り当てるデバイスの一覧を取得

$assignedDevice = $devices | Where-Object { $_.serialNumber `

-eq $assignedUser.DeviceSerialNumber }

# デバイスをユーザーに割り当てる

$assignedDevice | ForEach-Object {

$graphApiVersion = "beta"

$Resource = "deviceManagement/windowsAutopilotDeviceIdentities”

$Resource += “/$($_.id)/assignUserToDevice"

$uri = "https://graph.microsoft.com/$graphApiVersion/$Resource"

$json = @"

{

"userPrincipalName": "$($assignedUser.PrincipalName)",

"addressableUserName": "$($assignedUser.DisplayName)"

}

"@

$jsonBytes = [System.Text.Encoding]::UTF8.GetBytes($json)

Invoke-RestMethod -Uri $uri -Headers $authToken `

-Method Post -Body $jsonBytes -ContentType "application/json"

}

}

Windows Autopilotシナリオ #02

利用開始 廃棄管理調達 展開

ライフサイクル

修理/再割り当て

利用開始 廃棄管理調達 展開

ライフサイクル

修理/再割り当て

利用開始 廃棄管理調達 展開

ライフサイクルデバイスの初期化や再配布を効率化したい

デバイスを再利用するための効率的な方法

Windows Autopilot Reset の動作

すべてのアプリケーション、設定、個人用ファイルを削除

Azure AD への参加と MDM 登録は保持(デバイスは管理状態のまま)

プロビジョニング パッケージを保持

キーボード、言語、Wi-Fi 設定を保持

ローカル実行

リモート実行

Video:Windows Autopilot Reset

Windows 10 は展開済みなんだけど

Intune を利用したデバイス情報の自動登録

Intune で管理されているデバイス

プロファイル設定より既存デバイスの登録 (完了までに最大 48 時間)

Intune で管理されていないが SCCM で管理されている

SCCM との共同管理を実施し、[Intune への自動登録] を設定

新しく Intune に登録されたデバイスにプロファイル設定が割り当てられる

PowerShell による手動登録

PowerShell Gallery よりスクリプトを入手

> Install-Script Get-WindowsAutopilotInfo

スクリプトを実行し、Intune ポータルから登録

Windows 10 Ver. 1703 以降

Get-ADComputer (AD)、Get-CMCollectionMember (SCCM)、

PC 名や IP アドレスのリストを用いて WMI 経由のリモート実行が可能

Windows Autopilotシナリオ #03

デジタルサイネージ

複数アプリキオスク

単一アプリキオスク

共有 PC

VDI 接続クライアント

デジタルサイネージ

複数アプリキオスク

単一アプリキオスク

共有 PC

VDI 接続クライアント

こんな時にも Windows Autopilot したい

自己展開モードの対象デバイス

システム要件

自己展開の動作

Video:自己展開モード

Windows Autopilotシナリオ #04

オンプレミスの Active Directory に参加したい

ハイブリッド Azure AD 参加とは？

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview#hybrid-azure-ad-joined-devices

ハイブリッド Azure AD 参加により AD に参加する

AD

AzureAD

Windows Autopilot

Deployment ServiceIntune

デバイス

登録

Autopilot

プロファイル

MDM

参加

ODJ

受信

AD

Offline

Domain Join

Connector

従業員が開梱し

セルフ展開

社内ネットワークに

接続し、ドメイン参加

GPO

適用

これにより ODJ プロビジョニング データが作成され、Connector を通じて Intune に転送される

ADIntune

Video:ハイブリッド Azure AD 参加

Windows♥Cloud

1511 Mobile Device Management

AAD Join

Windows Store for Business

Windows Update for Business

Mail, Calendar, Photos, Maps, Groove, Skype

Windows Defender Antivirus

Windows Hello

Microsoft Edge

Device Guard

Credential Guard

BitLocker

SmartScreen

Windows as a service

In-place upgrades

Continuum

Cortana

Windows 10 core

+

1607 Windows Information Protection

Windows Hello for Business

Windows Analytics Upgrade Readiness

App-V, UE-V

Hybrid Azure Active Directory Join

Windows Ink

Mobile Device Management

AAD Join

Windows Store for Business

Windows Update for Business

Mail, Calendar, Photos, Maps, Groove, Skype

Windows Defender Antivirus

Windows Hello

Microsoft Edge

Device Guard

Credential Guard

BitLocker

SmartScreen

Windows as a service

In-place upgrades

Continuum

Cortana

Windows 10 core

+

1709 Windows Defender Exploit Guard, System Guard,

Application Guard, Application Control

Mobile Device Management

Windows Analytics Update Compliance

Windows Analytics Device Health

Co-management

Enterprise search in Windows

Continue on PC

OneDrive Files On-Demand

Narrator

Mixed Reality Viewer

Windows Autopilot

Windows Defender ATP

Windows Defender Security Center

Express update delivery

Hyper-V

Windows 10 Subscription Activation

Windows Insider Program for Business

Paint 3D

Cortana at work

Night light, mini view

Windows Information Protection

Windows Hello for Business

Windows Analytics Upgrade Readiness

App-V, UE-V

Hybrid Azure Active Directory Join

Windows Ink

Mobile Device Management

AAD Join

Windows Store for Business

Windows Update for Business

Mail, Calendar, Photos, Maps, Groove, Skype

Windows Defender Antivirus

Windows Hello

Microsoft Edge

Device Guard

Credential Guard

BitLocker

SmartScreen

Windows as a service

In-place upgrades

Continuum

Cortana

Windows 10 core

+

1803 Windows Analytics – Spectre & Meltdown,

Delivery Optimization, Application Reliability Logon HealthWDATP Automated RemediationConditional Access based on WDATP device riskThreat AnalyticsEmergency Outbreak UpdatesAdvanced huntingCloud Credential GuardDiagnostic data viewerWindows Autopilot enrollment status pageWindows 10 Enterprise in S modeShared Windows DevicesNearby SharingDictationTimelineWindows Defender Exploit Guard, System Guard, Application Guard, Application ControlMobile Device ManagementWindows Analytics Update ComplianceWindows Analytics Device HealthCo-managementEnterprise search in WindowsContinue on PCOneDrive Files On-DemandNarratorMixed Reality ViewerWindows AutopilotWindows Defender ATPWindows Defender Security CenterExpress update deliveryHyper-VWindows 10 Subscription ActivationWindows Insider Program for BusinessPaint 3DCortana at workNight light, mini viewWindows Information ProtectionWindows Hello for BusinessWindows Analytics Upgrade ReadinessApp-V, UE-VHybrid Azure Active Directory JoinWindows InkMobile Device ManagementAAD JoinWindows Store for BusinessWindows Update for BusinessMail, Calendar, Photos, Maps, Groove, SkypeWindows Defender AntivirusWindows HelloMicrosoft EdgeDevice GuardCredential Guard BitLockerSmartScreenWindows as a serviceIn-place upgradesContinuumCortanaWindows 10 core

+

Windows Autopilot

Windows Defender ATP

Windows Defender Security Center

Express update delivery

Hyper-V

Windows 10 Subscription Activation

Windows Insider Program for Business

Paint 3D

Cortana at work

Night light, mini view

Windows Information Protection

Windows Hello for Business

Windows Analytics Upgrade Readiness

App-V, UE-V

Hybrid Azure Active Directory Join

Windows Ink

Mobile Device Management

AAD Join

Windows Store for Business

Windows Update for Business

Mail, Calendar, Photos, Maps, Groove, Skype

Windows Defender Antivirus

Windows Hello

Microsoft Edge

Device Guard

Credential Guard

BitLocker

SmartScreen

Windows as a service

In-place upgrades

Continuum

Cortana

Windows 10 core

+1703

1809

Windows Defender ATP new attack surface area reduction controlsInvestigation and remediation across Office 365 ATP and Windows Defender ATPWeb Authentication in Microsoft Edge Windows Hello with FIDO 2.030 months of support for September releasesWindows Autopilot Self-deploying modeWindows Autopilot Hybrid Azure AD joinS Mode Block SwitchMicrosoft Edge kiosk modeDesktop Analytics (Preview) – Intelligent Pilot Selection and ConfigMgr IntegrationReadyforMicrosoft365.com Microsoft Edge experience improvementsAccessibility enhancementsAccess the clipboard across devicesYour PhoneWindows Analytics – Spectre & Meltdown, Delivery Optimization, Application Reliability Logon HealthWDATP Automated RemediationConditional Access based on WDATP device riskThreat AnalyticsEmergency Outbreak UpdatesAdvanced huntingCloud Credential GuardDiagnostic data viewerWindows Autopilot enrollment status pageWindows 10 Enterprise in S modeShared Windows DevicesNearby SharingDictationTimelineWindows Defender Exploit Guard, System Guard, Application Guard, Application ControlMobile Device ManagementWindows Analytics Update ComplianceWindows Analytics Device HealthCo-managementEnterprise search in WindowsContinue on PCOneDrive Files On-DemandNarratorMixed Reality ViewerWindows AutopilotWindows Defender ATPWindows Defender Security CenterExpress update deliveryHyper-VWindows 10 Subscription ActivationWindows Insider Program for BusinessPaint 3DCortana at workNight light, mini viewWindows Information ProtectionWindows Hello for BusinessWindows Analytics Upgrade ReadinessApp-V, UE-VHybrid Azure Active Directory JoinWindows InkMobile Device ManagementAAD JoinWindows Store for BusinessWindows Update for BusinessMail, Calendar, Photos, Maps, Groove, SkypeWindows Defender AntivirusWindows HelloMicrosoft EdgeDevice GuardCredential Guard BitLockerSmartScreenWindows as a serviceIn-place upgradesContinuumCortanaWindows 10 core

+

Windows 10 の

進化はつづく

Windows Autopilot

仕上がってます

この秋、本格的に

Windows Autopilot デビュー

目指しませんか

© 2018 Microsoft Corporation. All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。